Wäre es nicht sinnvoller den Server zu härten um das Problem in den Griff zu bekommen? Davon abgesehen das ein einmal kompromitierter Server, ein kompromitierter Server ist. Da würde ich immer neu aufsetzen empfehlen.

Zusätzliche Sicherheit kannst du mit einer IDS gewinnen, die du als Bridge einschleifst (z.B. Snort). Wenn du Hacker-Aktivitäten direkt nachverfolgen können willst, beschäftige dich ein wenig mit Honigtöpfen (honeypotd).